1. UMOWA POWIERZENIA PRZETWARZANIA DANYCH
1. Niniejsza Umowa powierzenia przetwarzania danych ("DPA"), wraz z naszym Regulaminem świadczenia usług ("Regulamin" lub "ToS"), Polityką prywatności i wszelkimi dodatkowymi załącznikami ("Załączniki dodatkowe"), stanowią umowę ("Umowa") zawartą przez i pomiędzy XOPERO SOFTWARE S.A. z siedzibą w Gorzowie Wielkopolskim, Polska, adres: ul. Zbigniewa Herberta 3, 66-400 Gorzów Wielkopolski, Polska (zwanym "XOPERO", "my" lub "nas", "Spółka" lub „Administrator”) a każdą osobą lub podmiotem będącym Klientem (zwanym "Klientem", "Tobą" lub „Przetwarzającym”) łącznie "stronami", indywidualnie "stroną".
2. Niniejsza umowa DPA jest uzupełnieniem i stanowi integralną część Warunków Świadczenia Usług rozumianych jako "Umowa Główna".
3. Na potrzeby niniejszej DPA, Klient może pełnić rolę Administratora lub Przetwarzającego, a XOPERO pełni rolę Przetwarzającego lub Podprzetwarzającego, w zależności od sytuacji.
4. POTWIERDZASZ I ZGADZASZ SIĘ, ŻE: (I) PRZECZYTAŁEŚ, ZROZUMIAŁEŚ I ZAAKCEPTOWAŁEŚ NINIEJSZĄ UMOWĘ, (II) NINIEJSZYM OŚWIADCZASZ I GWARANTUJESZ, ŻE JESTEŚ UPOWAŻNIONY DO ZAWARCIA NINIEJSZEJ UMOWY, (III) JEŻELI JESTEŚ PRZEDSTAWICIELEM LUB PRACOWNIKIEM PODMIOTU, OŚWIADCZASZ I GWARANTUJESZ, ŻE (IV) OSOBA FIZYCZNA AKCEPTUJĄCA NINIEJSZĄ UMOWĘ JEST NALEŻYCIE UPOWAŻNIONA DO ZAWARCIA NINIEJSZEJ UMOWY W IMIENIU TAKIEGO PODMIOTU ORAZ (V) TAKI PODMIOT MA PEŁNE UPRAWNIENIA, KORPORACYJNE LUB INNE, DO ZAWARCIA NINIEJSZEJ UMOWY I WYKONANIA SWOICH ZOBOWIĄZAŃ Z NIEJ WYNIKAJĄCYCH.
2. PRZEDMIOT UMOWY
1. Strony zawierają niniejszą Umowę DPA, na mocy której, Administrator powierza Przetwarzającemu przetwarzanie wszelkich danych osobowych. Powierzenie danych osobowych Przetwarzającemu następuje w celu wykonania Umowy Głównej.
3. Przetwarzający może przetwarzać podane dane wyłącznie w zakresie i celu wskazanym w Umowie Głównej oraz w celu i zakresie niezbędnym do utrzymania usług określonych w Umowie Głównej.
4. Przetwarzający nie będzie przechowywał, wykorzystywał, sprzedawał ani ujawniał Danych Osobowych Klienta w jakimkolwiek innym celu niż określony cel udostępnienia Oprogramowania i/lub Usług na podstawie Umowy Głównej oraz wszelkich instrukcji przekazanych przez Klienta.
5. Kategorie podmiotów danych, których dane osobowe są przekazywane:
i. Klient może przekazywać Dane osobowe w trakcie korzystania z Usług i/lub Oprogramowania, których zakres określa i kontroluje Klient według własnego uznania, co może obejmować, ale nie jest ograniczone do Danych osobowych dotyczących następujących kategorii Podmiotów danych:
Użytkownicy końcowi Klienta, w tym klienci, pracownicy i wykonawcy Klienta.
6. Kategorie przekazywanych danych osobowych.
i. Klient może przekazywać lub upoważniać inne osoby trzecie do przekazywania Danych Osobowych do Oprogramowania i/lub Usług XOPERO, których zakres jest określany i kontrolowany przez Klienta według jego wyłącznego uznania, i które mogą obejmować, ale nie są ograniczone do następujących kategorii Danych Osobowych:
Imię, nazwisko, numer telefonu, adres e-mail, adres wysyłkowy i rozliczeniowy klientów, informacje o zamówieniach klientów, historia zakupów, zakupione produkty, kredyt sklepowy, metki i notatki.
Imię i nazwisko pracowników Klienta, szczegóły dotyczące zatrudnienia, takie jak stanowisko
tytuł, numer telefonu, adres służbowy i adres e-mail.
Wszelkie inne Dane Osobowe złożone przez, wysłane do, lub otrzymane przez Klienta i/lub jego użytkowników końcowych.
7. Strony nie przewidują przekazywania danych wrażliwych.
8. Częstotliwość przekazywania danych (np. czy dane są przekazywane jednorazowo czy w sposób ciągły) jest zależna od korzystania z Oprogramowania i/lub Usług przez Klienta w ramach Umowy głównej.
9. Charakter przetwarzania:
i. Dane Osobowe będą przetwarzane zgodnie z Umową Główną (w tym niniejszą Umową DPA) i mogą być przedmiotem następujących czynności Przetwarzania:
Tworzenie kopii Treści Klienta w celu przechowywania i tworzenia kopii zapasowych;
Umożliwienie Klientowi przywrócenia takich kopii takich Treści Klienta według uznania Klienta;
Jako niezbędne do zapewnienia dostępu do Usług i/lub Oprogramowania XOPERO oraz zgodnie z Umową Główną, a także w inny sposób zgodnie z instrukcjami Klienta; oraz
Ujawnienia zgodnie z Umową Główną (w tym niniejszą Umową o Udzielaniu Informacji) i/lub zgodnie z przymusem wynikającym z obowiązujących przepisów prawa.
10. Cel(e) przekazania danych i dalszego przetwarzania:
i. XOPERO będzie przetwarzać Dane Osobowe w zakresie niezbędnym do zapewnienia dostępu do Oprogramowania i/lub Usług zgodnie z Umową Główną oraz zgodnie z dalszymi instrukcjami Klienta w zakresie korzystania przez niego z Oprogramowania i/lub Usług.
11. Okres, przez który dane osobowe będą przechowywane:
i. XOPERO będzie przetwarzać Dane Osobowe zgodnie z czasem trwania określonym w Umowie Głównej, chyba że indywidualnie uzgodniono inaczej,
ii. Podprzetwórcy będą przetwarzać Dane Osobowe w zakresie niezbędnym do zapewnienia dostępu do Oprogramowania i/lub Usług zgodnie z Umową Główną oraz zgodnie z dalszymi instrukcjami Klienta.
3. DEKLARACJE I ZOBOWIĄZANIA
1. Przetwarzający oświadcza, że posiada infrastrukturę, zasoby, doświadczenie, wiedzę i dobrze wykwalifikowany personel zdolny do wykonywania swoich obowiązków zgodnie z obowiązującymi przepisami prawa. W szczególności Przetwarzający oświadcza, że znane są mu zasady przetwarzania i ochrony danych osobowych wynikające z rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 679/2016 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych zwane dalej "RODO").
2. Każda ze stron będzie przestrzegać obowiązujących przepisów o ochronie danych osobowych, w szczególności RODO.
3. Przetwarzający zobowiązany jest:
i. przetwarzać podane dane osobowe wyłącznie na mocy umowy z wyjątkiem sytuacji, gdy jest do tego zobowiązany przepisami prawa; w przypadku, gdy przetwarzanie danych osobowych przez Przetwarzającego wynika z przepisów prawa, informuje on Administratora drogą elektryczną - przed rozpoczęciem przetwarzania - o tym przymusie prawa, jeżeli prawo zezwala na udzielenie takiej informacji ze względu na interes publiczny;
ii. przetwarzać podane dane osobowe zgodnie z RODO i umową;
iii. wprowadzać odpowiednie środki techniczne i organizacyjne, aby zapewnić poziom bezpieczeństwa odpowiadający ryzyku, jakie stanowi naruszenie praw lub wolności osób fizycznych, których dane osobowe będą przetwarzane na podstawie i w zakresie umowy;
iv. wspierać Administratora w realizacji obowiązku odpowiedzi na żądanie osoby, której dane dotyczą, w zakresie korzystania przez nią z prawa ustanowionego w RODO, rozdział 3. Współpraca Przetwarzającego z Administratorem w zakresie, o którym mowa powyżej, odbywa się w formie i czasie dogodnym dla Administratora, umożliwiając mu jednocześnie wykonywanie swoich obowiązków;
v. pomagać Administratorowi, w zakresie:
zapewnienia bezpieczeństwa przetwarzania danych osobowych poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych;
zgłaszania organowi nadzorczemu wszelkich naruszeń ochrony danych osobowych oraz informowania o tych naruszeniach osób, których dane dotyczą.
4. ŚRODKI TECHNICZNE I ORGANIZACYJNE
1. Przetwarzający wdraża i stosuje odpowiednie środki techniczne i organizacyjne w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka, jakie stanowi naruszenie praw lub wolności osób fizycznych, których dane osobowe będą przetwarzane na podstawie i w zakresie umowy.
2. Przy ocenie, czy poziom bezpieczeństwa, o którym mowa powyżej, jest odpowiedni, Przetwarzający zobowiązany jest uwzględnić ryzyko związane z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia lub przypadkowej utraty, zmiany, nieuprawnionego ujawnienia lub jakiegokolwiek niezgodnego z prawem dostępu do przekazywanych, przechowywanych lub przetwarzanych danych osobowych.
3. Przy wdrażaniu środków technicznych i organizacyjnych Przetwarzający:
i. stosuje się do wytycznych Administratora w zakresie środków bezpieczeństwa przetwarzania danych osobowych zgodnie z obowiązującymi przepisami prawa;
ii. uwzględnia aktualną wiedzę techniczną, kontekst, charakter, zakres, cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych, których dane osobowe będą przetwarzane na podstawie i w zakresie umowy.
4. Na każde żądanie Administratora Przetwarzający zobowiązany jest udostępnić dokumentację (procedury, kodeks wewnętrzny) dotyczącą przetwarzania danych osobowych nie później niż 7 dni od złożenia żądania.
5. PRZETWARZANIE CZĄSTKOWE
1. Administrator wyraża zgodę na dalsze powierzenie przez Przetwarzającego przetwarzania swoich danych osobowych innym podmiotom w zakresie i celu zgodnym z Umową Główną.
2. Przetwarzający zapewnia, że będzie korzystał z usług świadczonych wyłącznie przez podmioty przetwarzające, które dają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, tak aby przetwarzanie spełniało wymogi RODO, jak również aktualne przepisy prawa dotyczące ochrony danych osobowych.
3. Przetwarzający ponosi wobec Administratora pełną odpowiedzialność za dotrzymanie zobowiązań umownych wynikających z RODO zawartych pomiędzy Przetwarzającym a dalszym podmiotem przetwarzającym. Jeżeli podmiot dalej przetwarzający nie będzie wykonywał obowiązków dotyczących ochrony danych osobowych, Przetwarzający będzie ponosił odpowiedzialność wobec Administratora za nieprzestrzeganie zobowiązań umownych.
4. Lista podprzetwarzających ma formę załącznika do umowy DPA i jest dostępna na stronie internetowej XOPERO.
5. W przypadku wyboru przez Administratora świadczenia Usług wyłącznie przy użyciu infrastruktury w Europejskim Obszarze Gospodarczym, zastosowanie będą miały jedynie podmioty określone jako zlokalizowane na terenie UE dla danego Administratora.
6. Przetwarzający jest uprawniony do zmiany listy podmiotów, o której mowa w ust. 4 powyżej, dokonując stosownej modyfikacji na stronie internetowej. Administrator ma prawo złożyć sprzeciw odnośnie każdej takiej zmiany w dowolnym czasie. Jeżeli jednak podmiot przetwarzający powiadomił Administratora o dokonywanej zmianie, to skuteczny sprzeciw może być złożony w terminie 7 dni od takiego powiadomienia.
6. AUDYTY
1. Administrator jest w każdym momencie upoważniony do przeprowadzenia audytu zgodności przetwarzania danych osobowych przez Przetwarzającego z Umową i Umową Główną oraz obowiązującymi przepisami prawa, w szczególności Administrator może przeprowadzić weryfikację zgodności i adekwatności środków technicznych i organizacyjnych zabezpieczających przetwarzanie danych osobowych wdrożonych przez Przetwarzającego.
2. Audyt w pierwszej kolejności wykonywany jest poprzez wystosowanie przez Administratora wezwania do Przetwarzającego do udzielenia niezbędnych wyjaśnień w terminie 7 dni. W przypadku braku udzielenia odpowiedzi w tym terminie przez Przetwarzającego, lub też odpowiedzi niepełnej, Administrator będzie uprawniony do przeprowadzenia bezpośredniego audytu bezpośredniego na zasadach określonych poniżej.
3. Administrator poinformuje Przetwarzającego co najmniej 7 dni przed planowaną datą audytu o zamiarze jego przeprowadzenia. Jeżeli z ważnych powodów, w ocenie Przetwarzającego, audyt nie może zostać przeprowadzony we wskazanym terminie Przetwarzający powinien poinformować o tym fakcie Administratora drogą elektroniczną wskazując uzasadnienie dla takiej oceny. W takim przypadku Strony wspólnie ustalą późniejszy termin audytu.
4. Audyt bezpośredni może być wykonywany przez Administratora lub podmioty zewnętrzne, którym Administrator zleci wykonanie audytu, w dni robocze w godzinach od 8 do 16.
5. Przetwarzający ma obowiązek współpracować z osobami dokonującymi audytu, w szczególności zapewniać im dostęp do pomieszczeń i dokumentów obejmujących dane osobowe oraz informacje o sposobie przetwarzania danych osobowych, infrastruktury teleinformatycznej oraz systemów IT, a także do osób mających wiedzę na temat procesów przetwarzania danych osobowych realizowanych przez Przetwarzającego.
6. Po przeprowadzonym audycie przedstawiciel Administratora sporządza protokół pokontrolny, który podpisują przedstawiciele obu Stron. Przetwarzający zobowiązuje się w terminie uzgodnionym z Administratorem dostosować do zaleceń pokontrolnych zawartych w protokole, mających na celu usunięcie uchybień i poprawę bezpieczeństwa przetwarzania danych osobowych.
7. Koszty związane z przeprowadzeniem audytu ponosi Strona, która zleciła przeprowadzenie audytu, bez prawa do żądania zwrotu takich kosztów ani zapłaty dodatkowego wynagrodzenia.
6. WYKRYWANIE NARUSZEŃ
1. Przetwarzający zobowiązany jest do wdrożenia i przestrzegania procedur wykrywania naruszeń danych oraz wdrożenia odpowiednich środków zaradczych.
2. Po zauważeniu naruszenia danych osobowych powierzonych Przetwarzającemu przez Administratora, Przetwarzający, bez zbędnej zwłoki i możliwie nie później niż w ciągu 48 godzin od wykrycia naruszenia, powiadamia Administratora o zaistniałej sytuacji.
3. Przetwarzający, bez zbędnej zwłoki, podejmuje wszelkie uzasadnione działania w celu zminimalizowania i naprawienia negatywnych skutków naruszenia.
4. Przetwarzający zobowiązany jest do udokumentowania każdego naruszenia powierzonych mu danych osobowych, w tym okoliczności naruszenia, jego skutków oraz działań naprawczych, które zostały.
7. CZAS TRWANIA UMOWY I ZASADY ODPOWIEDZIALNOŚCI.
1. Umowa zostaje zawarta na czas określony i wygasa wraz z rozwiązaniem Umowy Głównej.
2. In the event of termination of the Master Agreement, this DPA shall terminate along with it.
3. Administrator ma prawo wypowiedzieć Umowę ze skutkiem natychmiastowym z ważnych powodów, w tym z powodu naruszenia przez Przetwarzającego i dalszy podmiot przetwarzający przepisów RODO i innych bezwzględnie obowiązujących przepisów prawa lub postanowień Umowy, w szczególności gdy:
i. Urząd Regulacyjny ds. przestrzegania zasad przetwarzania danych osobowych stwierdzi, że Przetwarzający lub dalszy podmiot przetwarzający narusza zasady przetwarzania danych osobowych;
ii. Prawomocne orzeczenie sądu powszechnego wykaże, że Przetwarzający lub podmiot dalej przetwarzający nie przestrzega zasad przetwarzania danych osobowych;
4. W przypadku naruszenia bezwzględnie obowiązujących przepisów prawa lub postanowień Umowy z przyczyn leżących po stronie Przetwarzającego i skutkujących obowiązkiem zapłaty przez Administratora odszkodowania lub administracyjnej kary pieniężnej, Przetwarzający zobowiązany jest do zwrotu wszystkich poniesionych wydatków.
8. POSTANOWIENIA OGÓLNE.
1. Jeżeli jakakolwiek część niniejszej Umowy o Udzielanie Informacji zostanie uznana za nieważną i niewykonalną, nie będzie to miało wpływu na ważność pozostałej części niniejszej Umowy o Udzielanie Informacji, która pozostanie ważna i wykonalna zgodnie z jej warunkami.
2. Strony nie mogą scedować niniejszej umowy, ani żadnej jej części, na żadną inną stronę. Wszelkie próby takiego działania są nieważne.
3. Wszelkie zmiany w niniejszej umowie powinny być dokonywane w tej samej (lub wyższej) formie, pod rygorem nieważności.